- Gegevens
- Hoofdcategorie: Internet en Telecom
Een zerodaylek in VMware vCenter Server, een oplossing voor het beheer van virtual machines en gevirtualiseerde servers, waardoor het mogelijk is om kwetsbare systemen over te nemen is anderhalf lang onopgemerkt door een Chinese spionagegroep misbruikt, zo claimt securitybedrijf Mandiant.
De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De enige vereiste voor het uitvoeren van een aanval is dat een aanvaller toegang tot de server heeft.
VMware kwam eind oktober vorig jaar met een beveiligingsupdate voor de kwetsbaarheid (CVE-2023-34048) en liet deze week weten dat aanvallers er actief misbruik van maken. Volgens Mandiant heeft een vanuit China opererende spionagegroep sinds eind 2021 misbruik van het beveiligingslek gemaakt om vCenter-servers van een backdoor te voorzien.
Via de gecompromitteerde vCenter-server worden vervolgens inloggegevens voor gekoppelde ESXi-hosts gestolen waarmee toegang tot de ESXi-host verkregen wordt. Vervolgens gebruikten de aanvallers een ander zerodaylek om ongeauthenticeerde commando's en bestandsuitwisseling op de geïnstalleerde guest virtual machines uit te voeren. Normaliter zijn inloggegevens vereist om toegang tot de guest virtual machine te krijgen. Via zeroday CVE-2023-20867, een "authentication bypass", is deze controle te omzeilen. Daarnaast zorgt de aanval ervoor dat er geen acties op de ESXi-host of de guest virtual machine worden gelogd.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Op 13 december vorig jaar kreeg Limburg.net te maken met een cyberaanval. De afvalsite sloot uit veiligheidsoverwegingen de digitale systemen meteen af zodat een uitbreiding van de aanval kon vermeden worden. De digitale diensten waren dagenlang niet meer bereikbaar. Alle recyclageparken bleven wel open en medewerkers gingen met pen en papier aan de slag. Dat zorgde voor files aan de milieuparken.
Uit onderzoek blijkt nu dat een buitenlands hackerscollectief een wachtwoord van een medewerker heeft kunnen bemachtigen. Er zou op enkele dagen tijd een grote hoeveelheid aan gegevens zijn gedownload. Het gaat om de persoonlijke gegevens van 311.000 Belgische Limburgers zoals adressen, rijksregisternummers en - volgens onze bronnen - zelfs informatie van klanten die een betalingsbemiddeling hadden aangevraagd.
De hackers zijn erin geslaagd om persoonsgegevens te kopiëren uit 2014 en 2015. Het betreft adresgegevens met het rijksregisternummer van 311.000 personen die op 1 januari 2014 en/of op 1 januari 2015 als gezinshoofd stonden ingeschreven.
Andere gegevens zoals e-mailadressen, paswoorden, inloggegevens, telefoonnummers, identiteitskaartnummers, rekeningnummers of bankkaartnummers werden niet gehackt. Van 61 inwoners konden de hackers ook financiële gegevens bekijken.
Het hackerscollectief heeft een dreigement gestuurd naar Limburg.net. Als er voor vrijdag 19 januari geen 100.000 dollar (bijna 92.000 euro) losgeld wordt betaald, dreigen ze de gehackte gegevens te verspreiden. De Raad van Bestuur van Limburg.net heeft besloten om niet op die afpersing in te gaan.
Alles bij de bron; deLimburger
- Gegevens
- Hoofdcategorie: Internet en Telecom
EasyPark zegt dat er bij de cyberaanval van december ook 'gehashte versies van wachtwoorden' zijn gestolen. Het bedrijf meldt niet van hoeveel klanten er wachtwoorden zijn gestolen. Het bedrijf zegt contact op te nemen met getroffen klanten.
"Onze analyse bevestigt dat gehashte versies van wachtwoorden ook deel uitmaakten van het datalek", schrijft EasyPark in een update en zegt contact op te nemen met klanten waarvan het gehashte wachtwoord is gelekt, via een e-mail, sms of pushmelding.
Het bedrijf zegt niet op welke termijn dit zal gebeuren; de eerdere communicatie over het datalek verliep stapsgewijs en duurde meerdere weken. Naast EasyPark-klanten kunnen ook Parkmobile-klanten getroffen zijn door het datalek. Het lek zat in het EasyPark-selfservice-webportaal.
Het bedrijf meldde het datalek op 14 december. Het lek was onderdeel van een cyberaanval die op 10 december plaatsvond. Daarbij zijn, naast gehashte wachtwoorden, ook namen, telefoonnummers, adressen, e-mailadressen en 'enkele cijfers van IBAN- of creditcardnummers' ingezien. Het bedrijf sprak destijds over 'niet gevoelige data'.
Alles bij de bron; Tweakers
- Gegevens
- Hoofdcategorie: Internet en Telecom
De rechtbank Midden-Nederland heeft een man uit Almere veroordeeld tot vier jaar cel voor fraude met gestolen inloggegevens. De verdachte bezat maar liefst 221 bots en fingerprints waarmee hij ook over gegevens van zijn slachtoffers beschikte.
Een aantal slachtoffers raakte daadwerkelijk geld kwijt: de verdachte had identificerende persoonsgegevens, inloggegevens en zelfs kopieën van valse paspoorten of identiteitskaarten voorhanden.
Daarmee deed hij aankopen en betalingen op accounts van slachtoffers, vroeg op hun naam creditcards en telefoonabonnementen aan, plaatste hij bestellingen en maakte hij grote sommen geld over naar bankrekeningen die hij weer op naam van derden had aangemaakt.
Alles bij de bron; Cops-in-Cyberspace
- Gegevens
- Hoofdcategorie: Internet en Telecom
Demissionair minister Ollongren van Defensie heeft de eindtermijn van een bulkdataset van de inlichtingendiensten, die eigenlijk binnenkort vernietigd zou moeten worden, met één jaar verlengd (pdf).
De bulkdatasets mogen op dit moment maximaal anderhalf jaar worden bewaard. In 2022 oordeelde de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) na een klacht van burgerrechtenbeweging Bits of Freedom dat de AIVD en MIVD vijf bulkdatasets moesten vernietigen, wat inmiddels ook is gedaan. De diensten bleken de bulkdatasets namelijk langer dan anderhalf jaar te bewaren.
Het wetsvoorstel 'Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensief cyberprogramma' maakt het mogelijk om bulkdatasets, na toestemming van de CTIVD, langer te bewaren. De termijn kan steeds met een jaar worden verlengd. Vanaf de derde verlenging zal er extra streng worden getoetst of dit nodig is. De Eerste Kamer moet nog over het wetsvoorstel stemmen.
Eind vorig jaar werd bekend dat de CTIVD een voorschot op het wetsvoorstel neemt en er een overgangsregeling is. Daardoor is het mogelijk om de eindtermijn van bulkdatasets die de inlichtingendiensten eigenlijk zouden moeten vernietigen te verlengen, ook al is wetsvoorstel waarin dit wordt geregeld nog niet aangenomen.
Vandaag meldt minister Ollongren aan de Tweede Kamer dat ze van één bulkdataset de eindtermijn met een jaar heeft verlengd en dat de CTIVD hiermee akkoord is.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
In SonicWall firewalls zijn twee kwetsbaarheden ontdekt, die aanvallers de mogelijkheid bieden Denial of Service (DoS)- of Remote Code Execution (RCE)-aanvallen uit te voeren. In totaal zijn naar schatting ruim 178.000 firewalls kwetsbaar. Een patch is beschikbaar.
De kwetsbaarheden (CVE-2022-22274 en CVE-2023-0656) treffen specifiek Series 6- en Series 7-firewalls van SonicWall.
Vooralsnog zijn er geen aanwijzingen dat het lek actief wordt uitgebuit.
Alles bij de bron; DutchIT
- Gegevens
- Hoofdcategorie: Internet en Telecom
De persoonsgegevens die eind vorig jaar bij EasyPark werden gestolen zijn niet gevoelig, zo stelt het bedrijf in een recente update over het incident. Parlementariër Paul Tang hekelt die reactie van de parkeerapp. "Het bedrijf probeert dit zo klein mogelijk te maken. 'Het stelt niet zoveel voor, maakt u zich geen zorgen, loopt u rustig door'. Dat is eigenlijk de reactie van het bedrijf", aldus Tang tegenover tv-programma Kassa.
Bij de aanval werden de persoonsgegevens van een onbekend aantal mensen gestolen. Het gaat om contactgegevens zoals naam, telefoonnummer en cijfers van IBAN- of creditcardnummer. "De gegevens waartoe toegang is verkregen, worden volgens de EU-regelgeving niet als gevoelig beschouwd.", aldus EasyPark in een update over het incident.
Tang voegt toe; "Het klopt wat EasyPark zegt. Bij gevoelige gegevens wordt bedoeld gegevens waarmee mensen kunnen worden uitgesloten of gediscrimineerd. Denk aan geaardheid, gezondheid, afkomst. Dat is dit niet. Maar het zijn wel gevoelige gegevens in de zin dat het gegevens zijn die geld opleveren en door criminelen gebruikt kunnen worden. In die zin zijn ze wel gevoelig."
De PvdA-Europarlementariër legt verder uit dat de verantwoordelijkheid voor dit soort datalekken ligt bij de bedrijven die de data verzamelen en beheren. "In dit geval is EasyPark ook verantwoordelijk voor de bescherming van onze gegevens. Hier kunnen we nog zo vaak ons wachtwoord veranderen, maar als het de tweede keer in korte tijd is dat EasyPark de gegevens laat lekken is daar het probleem en ligt dat niet bij ons."
"Een bedrijf als EasyPark verzamelt die gegevens, beheert die gegevens, maar let niet goed op en dat gebeurt eigenlijk nog veel te vaak." Tang pleit voor strenger toezicht en het meer inzetten op handhaving en boetes. "Er zijn veel datalekken, maar zoveel boetes worden niet uitgedeeld."
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Online wervingsplatform Chattr.AI heeft gegevens gelekt van sollicitanten, klanten en eigen personeel. Via het platform kunnen bedrijven op geautomatiseerde wijze personeel werven. Allerlei grote Amerikaanse fastfoodketens werken ermee.
Chattr.AI maakt gebruik van Firebase, Googles ontwikkelplatform voor mobiele en web-apps.
Het online werveringsplatform bleek de Firebase-omgeving niet goed te hebben beveiligd, want de onderzoekers konden een nieuwe gebruiker registreren waarmee ze volledige toegang tot de Firebase-database van Chattr.AI kregen. Daarin vonden ze namen, e-mailadressen, telefoonnummers, plaintext wachtwoorden, vertrouwelijke berichten en andere informatie van Chattr-medewerkers, franchisemanagers en sollicitanten.
In het geval van de sollicitanten ging het onder andere om cv's, sollicitatiegesprekken, profielfoto en adresgegevens. Een dag na te zijn ingelicht werd het probleem door Chattr.AI verholpen.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Privacystichting noyb van Max Schrems heeft een tweede klacht ingediend tegen Meta bij de Oostenrijkse privacyautoriteit. Volgens noyb maakt de techgigant het consumenten te lastig om de toestemming voor tracking in te trekken en wordt daarmee de AVG-wetgeving geschonden.
Gebruikers op Facebook en Instagram krijgen sinds november vorig jaar de keuze tussen een gratis en een betaalde versie. Als voor de betaalde versie wordt gekozen krijgen ze geen reclames meer te zien; de gratis versie verzamelt daarentegen net als voorheen gebruikersgegevens om gepersonaliseerde advertenties te kunnen tonen. Als gebruikers voor de gratis optie kiezen, geven ze volgens Meta toestemming om gevolgd te worden.
Noyb vindt echter dat het te moeilijk is om die toestemming naderhand weer in te trekken. "Hoewel gebruikers met één (gratis) klik al toestemming geven om gevolgd te worden, kan die toestemming alleen worden ingetrokken via het ingewikkelde proces van wisselen naar een betaald abonnement", aldus noyb.
Volgens de stichting wordt daarmee artikel 7 van de AVG-wetgeving geschonden, aangezien daarin vermeld staat dat het intrekken van de toestemming net zo makkelijk moet zijn als het geven ervan.
De EDPB noemt bovendien expliciet dat het intrekken van toestemming 'niet mag leiden tot kosten voor de betrokkene en dus niet leidt tot een duidelijk nadeel voor degenen die de toestemming intrekken'.
Noyb heeft zijn klacht ingediend bij de Oostenrijkse gegevensbeschermingsautoriteit. Het moet volgens noyb makkelijker worden om de toestemming in te trekken, zonder dat gebruikers daarvoor een vergoeding hoeven te betalen. Ook wil noyb dat de autoriteiten een boete opleggen aan Meta.
Alles bij de bron; Tweakers
- Gegevens
- Hoofdcategorie: Internet en Telecom
Zo'n 150.000 WordPress-sites zijn door een kritieke kwetsbaarheid in een populaire SMTP-plug-in op afstand over te nemen. Een beveiligingsupdate is beschikbaar, maar zo'n 150.000 websites hebben die nog niet geïnstalleerd.
De kwetsbaarheid is aanwezig in de plug-in "POST SMTP", waarmee het mogelijk is om een SMTP-mailer in WordPress in te stellen voor het versturen van e-mail. Dat meldt securitybedrijf Wordfence. De plug-in is een vervanging voor de standaard PHP-mailfunctie van WordPress. Meer dan 300.000 websites maken gebruik van de plug-in.
De plug-in is via een mobiele app te bedienen. Een kwetsbaarheid in een functie van deze app maakt het mogelijk voor een aanvaller om alle verzonden e-mails te bekijken, waaronder wachtwoordresetmails. Een aanvaller kan een wachtwoordreset voor de beheerder uitvoeren en via de kwetsbaarheid dit bericht in handen krijgen om vervolgens een eigen wachtwoord voor de beheerder in te stellen en zo de website over te nemen. Op 1 januari verscheen een update voor de kwetsbaarheid.
Alles bij de bron; Security